動態(tài)ARP檢測測試經(jīng)驗

一、組網(wǎng)及說明：

 

低端交換機的動態(tài)ARP檢測和IP CHECK特性已經(jīng)出來有一段時間了， 而針對該特性的指導手冊卻不多， 此次有一個測試項目中進行了該特性的測試， 整理了這篇測試文檔， 希望對大家有所借鑒。

如組網(wǎng)是一個非常常見的組網(wǎng)結(jié)構(gòu)， DHCP server在核心交換機7506E上（也可以用其他的服務器）， 3600-EI與7506E為TRUNK相連， 網(wǎng)關(guān)在7506E上， PC1、PC2同屬一個VLAN。

測試中要模擬非法ARP攻擊， 因此需要ARP發(fā)包工具， 在網(wǎng)上比較容易找到的是網(wǎng)絡執(zhí)法官， 建議下載V2.96.12試用版， 其他一些破解版本如V2.88等都附有病毒。

    本次測試使用的交換機是3600-EI， 軟件版本為3.10-R1602P02。

 

二、測試過程：

首先需要測試在未啟用動態(tài)ARP檢測特性時的現(xiàn)象，

3600-EI除啟用dhcp-snooping不做任何特殊配置， PC1和PC2都通過DHCP獲取地址， 分別為172.17.2.1/24和172.17.2.21/24。 測試前保證PC1、PC2與網(wǎng)關(guān)互通。

在PC1上打開一個DOS窗口， 可以看到172.17.2.254的MAC地址是：000f-e27b-f74e， 常PING 172.17.2.254， 可以看到是通的。

在PC2上打開網(wǎng)絡執(zhí)法官， 做如下配置：

選擇當前使用的網(wǎng)卡， 并添加監(jiān)控網(wǎng)段。

 

選擇“設置”/“關(guān)鍵主機”， 將網(wǎng)關(guān)的IP增加到關(guān)鍵主機列表中。

此時還需要在PC2同時打開ethereal抓包工具收集證據(jù)， 開始抓包。 做好準備工作后就可以發(fā)動攻擊了。

 

在主頁面中右擊PC1對應的條目， 選擇“設定權(quán)限”， 如上圖進行設置。

此時切換到ethereal， 查看剛剛抓的包：

   

   

可以看到PC2偽造了2個ARP回應包， 分別是172.17.2.1->172.17.2.254 /

172.17.2.254->172.17.2.1， 源MAC都做了修改。

切換到常PING 172.17.2.254的DOS窗口， 可以發(fā)現(xiàn)已經(jīng)不通了， 網(wǎng)關(guān)ARP已被更改。

    

 

在3600-EI上查看ARP表， PC1的MAC地址同樣被更改：

<S7506E>disp arp vlan 2

                Type: S-Static    D-Dynamic

IP Address       MAC Address     VLAN ID Interface              Aging Type

172.17.2.1       00c0-9fa2-53fa 2        GE2/0/3                17    D

172.17.2.21      0002-3f03-192a 2        GE2/0/3                20    D

 

以上可以很明顯地看到ARP攻擊的表現(xiàn)。

接下來就展現(xiàn)3600-EI如何有效地防范了。 在3600-EI上增加如下配置：

vlan 2

arp detection enable

#

interface Ethernet1/0/4

 port access vlan 2

 ip check source ip-address mac-address

#

interface Ethernet1/0/5

#

interface Ethernet1/0/6

 port access vlan 2

 ip check source ip-address mac-address

#

interface GigabitEthernet1/1/4

 port link-type trunk

 port trunk permit vlan 1 to 3 10

 dhcp-snooping trust

 ip source static binding ip-address 172.17.2.254 mac-address 000f-e27b-f74e

#

dhcp-snooping

#

此時再按上述步驟依次演示， 注意同樣要保證測試開始前PC1、PC2與網(wǎng)關(guān)互通， 可以看到最后PC2發(fā)動攻擊后PC1還是可以正常PING通網(wǎng)關(guān)， 查看PC2上ethereal所抓的包， 發(fā)現(xiàn)依然還是有偽造包發(fā)出， 但3600-EI和PC1的ARP表都沒有被更改。

 

三、經(jīng)驗總結(jié)：

此案例同樣適用于開局時向客戶演示我們的功能特點， 對于客戶網(wǎng)絡中已部署了DHCP服務器的很容易實施， 但在沒有部署DHCP服務器的環(huán)境下， 我們同樣可以實現(xiàn)， 需要在用戶接口上增加IP靜態(tài)綁定表， 如上例中需要在連接PC1、PC2的端口上手工配置IP靜態(tài)綁定表：

interface Ethernet1/0/4

ip source static binding ip-address 172.17.2.21 mac-address 0002-3f03-192a

#

interface Ethernet1/0/6

ip source static binding ip-address 172.17.2.1 mac-address 00c0-9f9b-2b98

 

四、注意事項：

測試前需要確定待測低端交換機是否支持該特性， 且需要升級到相應版本， 請與全球技術(shù)服務部技術(shù)支持中心確認。